Auteur Sujet: Tutorial : remplacer la Freebox par une box GNU/Linux (Lu 11340 fois)

camousse · « **Réponse #12 le:** 31 décembre 2022 à 14:36:01 »

Bonjour,

Juste un message pour dire merci à ping6 pour ce tutoriel. Ca fonctionne super bien.
Ma config :

FreeBox Mini4k (enfin seulement l'ONT de cette dernière)
A ce que j'ai compris, je suis en ZMD fibré par Orange (AMII a priori)
IP FullStack
Un NUC chinois Partaker B5 N3050 avec 2 realtek
Une carte double SFP chinoise mini pci e intel i350
Debian 11

Quelques remarques :
Pour le firewall et le tunnel ipv4, j'ai un peu galéré. Je n'autorisais en ipv6 que l'icmp proto 2,135 et 136 et 143 (packet too large, neighboor solicitation & neighbour adver et multicast), pour que le tunnel fonctionne, il faut aussi router advertissement (134). J'ai aussi du autorise le dhcpv6 en entrée (udp 546)
Dans ce message https://lafibre.info/remplacer-freebox/remplacement-mini-4k-par-mikrotik-ralentissement-en-tcp-ipv4/msg915015/#msg915015 Johnpi indique que le MTU de l'interface vlan 836 doit etre de 1696 et pas 1700. J'ai laisse 1700
Pour le accept_ra, j'ai directment fait une ligne accept_ra au lieu de post-up (j'ai laisse les autres post-up)
Je n'ai pas installer le package ndisc6 (mais il est peut etre utilisé coté réseau local ou pour les tests, partie du tuto que je n'ai pas suivi)
Le DHCP envoie une adresse ipv6 que je peut pleinement utilisé, mais qui n'est pas mon adresse fullstack. L'adresse fullstack est ajouté avec un post-up. Je trouve ca etrange...
J'ai mis mon adresse fullstack en post-up, mais j'ai utilise /64. Ca me semble plus logique (vu que les autres reseaux du /60 sont de l'autre coté)
D'autres tuto indique de configure request_prefix 1 sur le dhcp... je ne sais pas à quoi ca sert
Est-il possible de recuperer le multi poste de free ? (m3u)

Pour Niam : oui ca fonctionne (en tout cas dans le type de zone auquelle j'appartiens). As tu bien suivi le post qui parlait d'utilise DHCP V6 ? Désactiver le firewall ? Essaye de lancer le client dhcp à la main sur l'interface vlan.

Merci encore
++
camousse

vynce · « **Réponse #13 le:** 22 février 2023 à 21:37:50 »

Bonjour,

Merci pour le tuto !!

Ça fonctionne plutôt bien, mais j'ai galéré sur le MTU.
Une fois configuré en suivant le tuto, certains sites se chargeaient et d'autres non. En faisant un :

curl -v -4 https://www.duckduckgo.com

Il reste bloqué sur la négociation TLS.
En fouillant un peu j'ai pu lire qu'un mauvais MTU pouvait générer ces erreurs. Du coup, j'ai modifié le MTU, et il faut que je mettre le mtu de ethX.836 à 1514, pas au-dessus !

Il faut aussi que je force le MTU sur les clients du LAN en le modifiant avec dnsmasq et là il faut mettre ke MTU à 1474, pas au-dessus !

Est-ce que quelqu'un aurait une explication sur le fonctionnement et ces choix de tailles pour les MTU ?

En tout cas, merci !

@+

Ping6 · « **Réponse #14 le:** 25 février 2023 à 07:38:47 »

Oui, tout à fait le MTU est un soucis sur lequel je suis tombé.

Chez Free, la partie WAN en IPv6 (la partie fibre) peut utiliser les jumbo frames et avoir un MTU de 1700 octets. La partie IPv4, comme elle est en encapsulée dans un tunnel, aura forcément moins (théoriquement MTU IPv6 - taille de l'entête IPv6 d'encapsulation).

Sur ma MiamBox, j'ai configuré le MTU à 1700 pour ethX et ethX.836 :

Code: [Sélectionner]

allow-hotplug ethX
auto ethX

iface ethX inet6 manual
  hwaddress ether AA:BB:CC:DD:EE:FF
  mtu 1700
  ...

allow-hotplug ethX.836
auto ethX.836
iface ethX.836 inet6 dhcp
  description wan6 
  hwaddress ether AA:BB:CC:DD:EE:FF
  mtu 1700
  ...

Le tunnel IPv4-in-IPv6 lui est à 1500 :

Code: [Sélectionner]

# IPv4 in IPv6 tunnel
allow-hotplug ip4tnl0
auto ip4tnl0
iface ip4tnl0 inet tunnel
  description wan4
  tunnel-physdev ethX.836
  # Standard MTU (must be less than ethX.836's MTU - 40)
  mtu 1500
  ...

Je n'ai pas ajouté de configuration MTU pour la partie LAN IPv4 / IPv6 avec dnsmasq.

Et tout cela tourne impec' depuis mai 2021.

vynce · « **Réponse #15 le:** 25 février 2023 à 20:36:27 »

Depuis que c'est en place, ça tourne nickel ! Et puis ça chauffe beaucoup moins dans le meuble

Pour le MTU c'est bizarre. Je n'ai pas le même type de box (Raspberry Pi3, port ethernet et adaptateur USB-RJ45 pour les deux interfaces) et une IP Full Stack mais à part ça c'est la même chose.

J'ai refait quelques tests en changeant le MTU de l'interface ethX.836.

- En mettant le MTU à 1700 :

Code: [Sélectionner]

allow-hotplug eth1.836
auto eth1.836
iface eth1.836 inet6 dhcp
        description wan6
        hwaddress AA:BB:CC:DD:EE:FF
        mtu 1700
        #mtu 1514
		...

Je recharge et je fais un test :

Code: [Sélectionner]

ifreload -a
curl -v -4 https://www.duckduckgo.com
*   Trying 52.142.124.215:443...
* Connected to www.duckduckgo.com (52.142.124.215) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
*  CAfile: /etc/ssl/certs/ca-certificates.crt
*  CApath: /etc/ssl/certs
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
^C

Ça bloque sur la dernière ligne et ne va pas plus loin. Sur certains sites ça marche très bien (www.google.fr).

Je repasse le MTU à 1514 :

Code: [Sélectionner]

allow-hotplug eth1.836
auto eth1.836
iface eth1.836 inet6 dhcp
        description wan6
        hwaddress AA:BB:CC:DD:EE:FF
        #mtu 1700
        mtu 1514
		...

Je relance et test :

Code: [Sélectionner]

ifreload -a
curl -v -4 https://www.duckduckgo.com
*   Trying 52.142.124.215:443...
* Connected to www.duckduckgo.com (52.142.124.215) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
*  CAfile: /etc/ssl/certs/ca-certificates.crt
*  CApath: /etc/ssl/certs
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8):
* TLSv1.3 (IN), TLS handshake, Certificate (11):
* TLSv1.3 (IN), TLS handshake, CERT verify (15):
* TLSv1.3 (IN), TLS handshake, Finished (20):
* TLSv1.3 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.3 (OUT), TLS handshake, Finished (20):
* SSL connection using TLSv1.3 / TLS_AES_256_GCM_SHA384
* ALPN, server accepted to use h2
* Server certificate:
*  subject: C=US; ST=Pennsylvania; L=Paoli; O=Duck Duck Go, Inc.; CN=*.duckduckgo.com
*  start date: Oct 20 00:00:00 2022 GMT
*  expire date: Nov 20 23:59:59 2023 GMT
*  subjectAltName: host "www.duckduckgo.com" matched cert's "*.duckduckgo.com"
*  issuer: C=US; O=DigiCert Inc; CN=DigiCert TLS RSA SHA256 2020 CA1
*  SSL certificate verify ok.
* Using HTTP2, server supports multi-use
* Connection state changed (HTTP/2 confirmed)
* Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0
* Using Stream ID: 1 (easy handle 0x55b51d0d00)
> GET / HTTP/2
> Host: www.duckduckgo.com
> user-agent: curl/7.74.0
> accept: */*
>
* TLSv1.3 (IN), TLS handshake, Newsession Ticket (4):
* TLSv1.3 (IN), TLS handshake, Newsession Ticket (4):
* old SSL session ID is stale, removing
* Connection state changed (MAX_CONCURRENT_STREAMS == 64)!
< HTTP/2 301
< server: nginx
< date: Sat, 25 Feb 2023 15:16:14 GMT
< content-type: text/html
< content-length: 162
< location: https://duckduckgo.com/
< strict-transport-security: max-age=31536000
< expires: Sun, 25 Feb 2024 15:16:14 GMT
< cache-control: max-age=31536000
<
<html>
<head><title>301 Moved Permanently</title></head>
<body>
<center><h1>301 Moved Permanently</h1></center>
<hr><center>nginx</center>
</body>
</html>
* Connection #0 to host www.duckduckgo.com left intact

Et là ça passe :/
Ça c'est sur la box. Pour les clients du LAN, il faut forcer le MTU grâce à Dnsmasq. Bon par contre, je ne suis pas sûr que tous les équipements le prennent en compte (comme les chromecast). À voir ....

En écrivant, je me demandais si l'interface USB-RJ45 ne posais pas le pb. Je vais tester en inversant les interfaces.

Merci en tout cas, c'est un super tuto ! Le résultat est top !!

Ping6 · « **Réponse #16 le:** 25 février 2023 à 23:10:11 »

Citation de: vynce le 25 février 2023 à 20:36:27

J'ai refait quelques tests en changeant le MTU de l'interface ethX.836.

- En mettant le MTU à 1700 :

Le MTU de l'interface du tunnel IPv4-in-IPv6 vaut combien (quand ethX.836 est à 1700) ?

Bien sûr à chaque modification du MTU, il faut recharger les configurations wan6 + tunnel (à base de ifup / ifdown par exemple).

EDIT : je viens de relire. Effectivement il faudrait vérifier si ton cable USB-RJ45 supporte les jumbo frames (pour transporter des MTU plus conséquent).

vynce · « **Réponse #17 le:** 26 février 2023 à 10:30:13 »

C'est vraiment en discutant que les idées viennent et en effet, en permutant les interfaces, je peux passer
les jumbo frames côté Free !
Du coup, je limite mes trames IPv6 à 1500 sur mon LAN car c'est l'interface USB-Ethernet qui est dessus (pas très gênant).

Ça marche nickel !!!!

Comme l'a dit quelqu'un de plus sage avant moi : Victoire pour le peuple !

vincentbab · « **Réponse #18 le:** 22 juillet 2023 à 20:04:26 »

Bonjour,

Merci pour le tuto, ca fonctionne nickel pour remplacer ma mini 4k.

Petite question, quelqu'un a t-il reussi à se passer du MC220L ?
Je dispose d'une carte PCIe avec 2 ports SFP+ (lien amazon) mais quand je branche l'ONU directement dedan j'ai un message dans `dmesg` disant que le module n'est pas supporté. Après quelques recherches il me semble qu'il faut une carte qui supporte le 1000BASE-X et pas seulement le 1000BASE-T, c'est bien ça ?
Je ne sais pas si ca peut se régler seulement avec un driver/firmware different ou si electriquement il faut que la carte soit adapté ? Sinon connaissez vous des cartes PCIe qui gèrent le 1000Base-X ? Voir même le 10GBase-X pour brancher directement l'ONU de la Freebox Pro que j'envisage peut être de prendre prochainement ^^

hexoseth · « **Réponse #19 le:** 02 septembre 2023 à 13:24:01 »

Citation de: vincentbab le 22 juillet 2023 à 20:04:26

Petite question, quelqu'un a t-il reussi à se passer du MC220L ?

Bonjour,

En ajoutant une carte PCI SFP dans un matériel avec pfSense, on pourrait branché l'ONU sur ce port et se passé de la Freebox.
Est-il possible de connecter le câble DAC dans une carte PCI SFP compatible? Afin d'obtenir cette configuration

ONU <----- Câble DAC -----> pfSense

J'ai trouvé la compatibilité des chipset de carte PCI SFP pour FreeBSD (pfSense), mais des infos sur la compatibilité des modules ou câble DAC c'est plus compliqué.

Cordialement